Last modified: Tue Apr 15 13:00:16 2003 +0900 (JST)
MS00-100「無効なWeb フォームの提出」の脆弱性 の IIS 4 patch が出ています。
HWのセキュリティ仕様「1.0」版をTCPAが公開、 SHA-1 とか RSA とか DES/3DES とか乱数生成に対応してくれるようです。
IT関連3学会、IT戦略本部にセキュリティ技術者認定制度創設など提言、 電子情報通信学会、 情報処理学会、 電気学会 いづれのホームページにもこの提言の内容は記載されてないな。 明日になれば掲載されるんだろうか。
電子情報通信学会の what's new!、更新日付くらい入れてくれないといつの情報なんだかさっぱりわからないよ。
体調が悪いので今日はあまり書けない。
IIS の通常の処理は IUSR_COMPUTER 権限で実行されるが、別プロセスを起動する場合には IIS 自身の実行権限で実行されてしまう。 結果として、.asp ファイルさえ設置できれば SYSTEM 権限 (IIS 4) や IWAM_COMPUTER 権限 (IIS 5 新規導入時デフォルト) のシェル (cmd.exe) を起動できてしまう。 IIS 5 を Application Protection "Low" で実行している場合は IWAM_COMPUTER ではなく SYSTEM 権限を得られる。 IIS 4.0 から IIS 5.0 へ upgrade した場合は Application Protection "Low" がデフォルトなので SYSTEM 権限を得られる。 サンプルコード CmdAsp は驚くほど短い。
いはらさんのところ にも CmdAsp(2001/1/31) として情報がある。 おおもとの CmdAsp は c:\ に一時ファイルを作成するため IIS 5 (Windows 2000) で c:\ の権限を矯正している場合にはそのままでは実行できないそうだ。
とりあえずの対応策としては regsvr32.exe /u C:\winnt\system32\wshom.ocx として wshom.ocx を登録削除する。
2001.01.30 の CERT Advisory CA-2001-02 Multiple Vulnerabilities in BIND に追記した。 bind 8.2.3 for NT/2000 登場、など。
他力本願堂本舗さんに実験十三が出てます。
MS00-063: 「無効な URL」の脆弱性 の patch がl出ています。
Kondara MNU/Linux for SPARC に関する情報ページができています。
CERT Advisory CA-2001-02 Multiple Vulnerabilities in BIND のところ、いろいろなおしたです、はい。
期限付きEメール、画面キャプチャされたり写真にとられたらおしまいだと思うんだけど。
なぜ今日に集中するのだ?
社会批評社から「公安調査庁マル秘文書集」‐市民団体をも監視するCIA型情報機関 という本が出るそうです。
1.3.{15,16} をとびこえて apache 1.3.17 が出たそうです。
そのサーバー,携帯電話からのアクセス増に耐えられますか?、要は client は Netscape と IE だけじゃないこと考えなって話のような。
tsworks Ver3.097、 「Senderヘッダの任意設定 (付加する/しない設定を含む) 機能を追加」ですか。
「社会調査」を読むときは、常に、まともな内容かどうかをきちんと確認する必要がある。 というわけで、 谷岡一郎『「社会調査」のウソ−リサーチ・リテラシーのすすめ−』 はすごくおもしろくてためになりますです。
2001.01.29 の [OFF2001] ノートンアンチウィルスがインストールされた環境でファイルを保存するとフリーズ に追記した。 この問題が常に発生するというわけではなさそうだ。
bind 8.2〜8.2.3-beta に弱点。 TSIG signed query の処理において buffer overflow するため、 remote から bind 実行権限を得られる。 8.2.3 で fix されている。
bind 4.9.x にも弱点。 nslookupComplain() に 2 つの問題があるため、 remote から bind 実行権限を得られる。 4.9.8 で fix されている (記述修正: こがさん感謝)。
さらに、両方 (4.9.x/8.x) に共通する bug があり、 特定の形式の query を送ると program stack からの情報 (たぶん環境変数) を暴かれる。 4.9.8/8.2.3 で fix されている (記述修正: こがさん感謝)。
bind 9.1 にはこの問題はない。 これを機会に bind 9 にしたい人には、 BIND 8 to BIND 9 Migration Notes (日本語版: BIND 8 から BIND 9 への移行についてのノート) が参考になるかも (日本語版追加: 東さん感謝)。 また djbdns (日本語ページ) にもこの弱点はない……だろう多分。 これを機会に djbdns へ移行するのもよいでしょう。
Windows NT/2000 用の bind 4.9.x/8.x にも同様の弱点がある。 8.2.3 for NT/2000 の登場を待たれたい。
関連: CERT(R) Advisory CA-2001-02 Multiple Vulnerabilities in BIND 邦訳版, [COVERT-2001-01] Multiple Vulnerabilities in BIND, BIND holes mean big trouble, ISSalert: Internet Security Systems Security Alert: Remote Vulnerabilities in BIND versions 4 and 8 , BIND Vulnerabilities, BUGTRAQ bugid 2302 / 2304 / 2307 / 2309, MSサイトの悪夢は他人事ではない——DNSソフトに4つのセキュリティホール 。 (記述追加・修正: こがさん感謝)。
patch: OpenBSD, RedHat, Debian 。
2001.01.31 追記: CERT Advisory CA-2001-02 Multiple Vulnerabilities in BIND および 邦訳版 が改訂され、Microsoft と OpenBSD の状況が追加されている。 MS DNS にも OpenBSD にもこの弱点はない。 OpenBSD 2.8 patch は 4.9.8-REL への移行分ということなのだろう。
bind 8.2.3 for NT/2000 が登場している。詳細は [fw-announce:2058] ISC BIND for NT Release Advisory を参照されたい。
[fw-products:745] BIND 脆弱性への WebShield E-ppliance 300 の対応について が出ている。 OS 付属の named が……という例はこれだけではないだろう。 各ベンダーに確認されたい。
patch: Vine。 FreeBSD の 3-stable と 4-stable に fix が反映されたっぽいです。
2001.02.01 追記: patch: Kondara, FreeBSD。
Solaris 7/8 for sparc/intel の ximp40 共有ライブラリに buffer overflow するバグがあるため、 /usr/dt/bin/dtaction など ximp40 を利用している suid/sgid コマンドを用いると local user が suid/sgid されている権限 (uid root, gid mail) を得られる。
回避方法としては、ximp40 を利用している suid/sgid コマンドの suid/sgid を削除する。
2001.02.05 追記: SPS から、 防御用の suid/sgid wrapper が登場している。 詳細は SPS Advisory #40 の「追記 : 02/03/2000」を参照。
IIS 4.0/5.0 に弱点。 MS00-031: 「区切り文字なしの .HTR リクエスト」および「.HTR 経由のファイルフラグメントの読み取り」の脆弱性 や MS00-044: 「.HTR 経由のファイルフラグメント読み取り」脆弱性の新種 のさらなる新種が存在するため、.htr へのリクエストを利用して .asp ファイルなどの web サーバ上のファイルそのもの (の断片) を読むことができる。 もしかすると IIS 5.0 allows viewing files using %3F+.htr の話なのかもしれないが未確認。
回避方法としては、.htr へのスクリプトマッピングを削除すればよい。 .htr の機能を利用していない場合は必ず削除しておこう。
日本語 patch: IIS 5.0、 IIS 4.0。 最初から用意されている。すばらしい。 NT 4.0 SP7, Windows 2000 SP3 に含まれる。
日本語版: MS01-004: 「.HTR 経由のファイルフラグメントの読み取り」の新種の脆弱性
2001.02.06 追記: IIS 5.0 allows viewing files using %3F+.htr の話のようですね。で、この patch を適用しても、 https://mysite/checkuser.asp%3F+.htr のようにやると見えちゃうという指摘がされている。 https なところがミソなのかな。
再三発生MSサイトのトラブル——サーバへの攻撃か、明日になると (というかそろそろというか)、また続きがはじまるのでしょうか?
エネルギー基本法(仮称)を考える会、1/31 19:00- 渋谷消費者センター 2F 研修室。 自民党・エネルギー総合政策小委員会というところでは、あいかわらず 原子力の平和的かつ安全な利用拡大 などとほざいているというトンデモな状況。 いまどき 原子力拡大 なんて言えるのは世界広しといえど自民党のみなさんだけでしょう。 他はそれなりに見えるのに、なぜ原子力拡大? やっぱ利権ですか?
原子力に意義が全くなかったとは言わないけどさ、 もう捨てる方向で動く時期でしょ。 間違っても「拡大」じゃないでしょ。
米国防総省、「ハイテクよろい」の開発を検討中(上)、わは、やっぱ気分は宇宙の戦士 (小説版) ですかー。
ISDNは“いつ消える?”、今すぐ消えてかまわないから xDSL でも光でももってきてよ。
日経 BP から 「インターネット視聴率調査へのご協力のお願い」 なんて mail が来たけど、FreeBSD 上の Netscape や w3m には対応していないようだから協力したくてもできないな。
マイラインとフレッツISDN、テレホーダイの関係について、なるほどそりゃそうだよなあ。
bind 8.2.3 リリース版出てます。 bind 4.9.8 も出てます。
2001.01.29 の [fw-products:715] Security hole in Trend Micro Virus Buster 2001 に追記した。 To: だけではない、という話。
NAV 5 or 6 といっしょに mac:Office 2001 を使うとフリーズしてしまうという話。 「ナビゲーション・サービスを利用したダイアログボックス」の利用において問題が生じるようだ。 Auto-Protect をオフにすればとりあえず回避できる。 Symantec の Applications fail to start and computer freezes with Auto-Protect loaded には "Scan for known viruses when files are opened and applications are launched." を off にしろと書いてある。
2001.01.30 追記: Macintosh トラブルニュース 01/01/30 に関連情報がある。 この問題が常に発生するというわけではなさそうだ。
伊波さんから。情報ありがとうございます。紹介が遅くてすいません。
The Honeynet Project's Forensic Challenge が始まってます。この企画は侵入 されたシステムから侵入にかかる各種の情報を取り出すのを競うものです。なか なか興味深く面白そうな企画ですね。 The Forensic Challenge http://project.honeynet.org/challenge/index.html 仕様 ・システムはRed Hat Linux 6.2をサーバーで標準インストール ・システムのタイムゾーンはGMT-0600 (CST) ・侵入時のsnortのログが公開されている ・ハードディスクのパーティション情報 /dev/hda8 / /dev/hda1 /boot /dev/hda6 /home /dev/hda5 /usr /dev/hda7 /var /dev/hda9 swap ・上記のハードディスクのイメージがインターネット上に公開されている 目標 「Who, What, Where, When, How, and maybe even the Why of this compromise.」 を調べること。そのために参考となる10項目が提示されています。 ルール 基本的にはどのようなツールを用いてもよいものとする 締め切り 2001年2月19日(月曜日) 00:00 GMT 賞品 Top20に"Hacking Exposed" (Second Edition)
ウィルスバスター 2001 のメール検索 (mail proxy によるウィルスチェック) 機能にバッファオーバーフローする弱点があるという話。 攻撃者は長大な To: を用いることにより任意のコマンドを実行できる。 インテリジェントアップデートで 8.01 版にすれば fix される。
2001.01.29 追記: 坂井さんから情報をいただいた (ありがとうございます)。 To: だけでなく、From: や Subject: や Cc: など RFC822 で定義されるヘッダ全てでバッファオーバーフローするそうだ。
世界各地の ML driver を使った DDoS 攻撃が可能だという話。 すくなくとも、いやがらせ程度にはなるんでしょうね。 Sender: に返す ML driver あるけど (Listserv ってそうですよね確か)、 それはそれでちょっとつらいものがあるし。 いまどきだと web インターフェイスにしたほうがいいいのかなあ。 坂元さん情報ありがとうございます。紹介が遅くてすいません。
majordomo の場合、デフォルトで往復分の Received: をつけていたような気がする。 purge_received かな。
Free の Netware エミュレータ MARS_NWE 0.99pl19 に format bug があるという話。patch つき。
わは、自分はフィルタしてませんってか。
河合塾が運営しているメールマガジンに利用している mailing list が誰でも投稿できる状態になっていたため、 ppp013.dialup.hc.keio.ac.jp から ccgwy2.hc.cc.keio.ac.jp 経由で gnd.keinet.ne.jp に投稿された W95.Hybris.Gen.dr (また Hybris だよ……) を基点として混乱が発生しているという話。 スキルの低いケータイ subscriber が混乱を助長している点が興味深い。 ケータイしか知らん奴にはわけわからんだろうなあ確かに。 電話番号を広報していることにも気がついてないんだろうなあ。
おおしろさん情報ありがとうございます。
2001.01.23 の MS01-002: Patch Available for PowerPoint File Parsing Vulnerability に追記した。 patch 更新など。
とりあえず、どっかから PC とか拾ってきて snort を動かしてみると楽しいす。 で、ちょっと運用してみると IDS についていろいろ勉強になると思うので、それから商用 IDS のカタログスペックを眺めはじめてもいいような気がします。
MS01-001: 「Web クライアントのNTLM 認証」の脆弱性に対する対策、
Windows 2000 日本語版 patch
が出ています。
Windows 2000 Patch: Performance Degredation with ADSI
(PC 互換機 / NEC PC98)
も出てます。
Sorry, due to unusually heavy traffic,
we are unable to show you the page you have requested.
Please try again later.
なんて言われちゃうかもしれないけど。
「119番メール」を来年度導入へ 宇都宮市が方針、 「119番が可能な電子メールアドレス」が外部に流出しても大丈夫なシステムになっているんだろうか。
あら、securityfocus.com の ML も止まるようですね。 1/27 06:00 AM - 1/30 01:00 AM (JST) でいいのかな。
IE 6.0 では Microsoft JavaVM は消滅するようです。すばらしい。 “アーキテクチャの汚染”、うまいこと言いますな。
今 (13:50 JST) は ok みたいですが、本日 05:00 JST ごろにはだめだったみたいですね。 今度は本当に DDoS だったようで。 参照: 受難のMSサイト,今度は外部からの攻撃、 お粗末なMSのネットワーク設計,サイトのトラブルで浮き彫りに、 Microsoft PressPass: Statement by Microsoft on Web Site Availability (Jan. 25, 2001)。
とりあえず名前引きを分散しナイト。 asia にもサーバ置きましょうよ > Mr. ゲイツ。
なんだかわけわからん題名ですが、 国立感染症研究所 (旧称:予防衛生研究所) という「日本最大の病原体実験施設」が住宅地のド真中 (早稲田の隣!) に存在し、 そこから危険な排気が周辺にバラまかれていることに対する裁判のおはなしのようです。 詳細は 予研(感染研)裁判の会 を参照。
いやはや、日本って、なんでもアリアリな国だったのね。 原子力産業ですら紳士的に思えてくる。 この施設にしてアノ厚生省あり、なのかな。
騒ぎになるほど Mac + office:Mac 2001 は使われてない、という解釈もできるだろうな。 手元でもまだ upgrade してないからなあ。
ウィルス屋さんのさわぎは、おうおうにして広告目的の場合があるので注意が必要という事例ですね。 だからと言って anti-virus soft の必要性が減るわけではないし、そのおかげでまだ導入していない人が導入するようになれば、それはそれでいいかなという気もしますけど。
Microsoft Internet Security and Acceleration Server 2000日本語版、2001年2月16日(金)より発売開始、一般の商用ファイアウォール製品の値段が数百万円なのに比べると、べらぼうに安い。 認証とかやるとなると、これに Windows 2000 Server CAL を加える必要があるけど。
Debian GNU/Linux -- セキュリティ情報 は、 英語 page を除いてみんな 2000 年でおわりなのか?
あらー、こんどは [email protected] から W95.Hybris.Gen.dr が……。 流行ってるんですねえ。
tripwire 2.3.0 for Linux への FreeBSD 対応 unofficial patch が出たそうです。
microsoft.com 見えるようになってますね。 単なる設定ミスだそうです。 Microsoft Explains Site Access Issues に詳細があります。 engineer じゃなくて technician が変えたのね……。
Microsoft: This Week! にこれの日本語版が流れてきてました。 ……あれ、6:30 p.m. Tuesday (PST) って 1月 24日午前 11時 30分(日本時間) じゃないすか? 5 p.m. Wednesday (PST) は 本日 (25日) 午前10時 (日本時間) になってるのに。 ……press release 版は PST になってるのね。
MS へのふつうの feedback は ご意見・ご感想 から送ればよいようだ。 で、さっそく送ってみたら、
Error Performing Query ・ [State=37000][Error=9002][Microsoft][ODBC SQL Server Driver][SQL Server]The log file for database 'Japan' is full. Back up the transaction log for the database to free up some log space.
w3m, Netscape, MSIE で試しましたがいづれにおいても error になります。 backend が腐ってるのかな。 やっぱり、feedback を求めているようで実は拒絶しているような気がしてならないなあ……。
ftp, tftp などを併用しなくても、UNICODE バグと HTTP access だけで shell を取れるという話。ただし、web root の物理位置を知る必要があるという。
ほんとに取れるかどうか知らないけど、とにかく MS00-086 fix は適用しましょう。
Windows NT 4.0 に弱点。対話的に logon 可能な攻撃者が、logon したマシンの ネットワークトラフィックを遮断することができてしまう。 NT 4.0 ではおなじみの「脆弱なパーミッション」が原因。 今回は networking mutex オブジェクトのパーミッション。 本来 Administrator/SYSTEM だけが アクセスできるべきなのに everyone がアクセス可能であるため、 攻撃者は permission をアクセス不能に変更できてしまう。 これで DoS が成立。
攻撃者は対話的に logon 可能でなければならない。 このため、Workstation/Server よりも NT TSE で問題となる。
Windows 2000 にはこの問題はない。 英語版 patch はあるが日本語版はまだ。
「DOS/V USER」、「遊ぶインタ−ネット」読者の皆様へ の話。……って、URL 同じだな。 ハッカー本販売を条例規制へ 都協議会が答申 とのからみもあり、今後に要注目である。
毎日の記事「都は訴えの却下求める 青少年健全条例違憲訴訟の初弁論で」と読みくらべると、なかなか興味深いものがある。
毎日は「不健全図書類指定は、特定個人の権利義務に影響を与えるものではなく、雑誌というモノに対する指定だ。原告には訴えの利益はない
」
なんていう都のワケワカな主張をそのまま載せているだけで、却下されたことは書いてないわけだ。
要は都にゴマすりすりということなのか。
「青少年に対し、不健全なものであるか否かについて判断する立場にない
」
とか言いつつ
「これらの雑誌を18歳未満の青少年に販売しないよう求める
」
出版倫理協議会もなかなかキている組織だ。
すばらしい無責任体質。
アマクダリィなジジィがいっぱいなのかな。
東証メール・マガジンの話も出てきてます。 Mailing List にも同様の注意が必要ですね。 ウイルス感染メールを6000人に配信 自然保護協会 なんてことにもなってるようです。
ロータスノーツクライアント R5 内蔵Java VM のECL 機能のセキュリティ欠陥 の話。
しかしなあ。これは半年以上前に「日本のロータス」に直接告知されているのだ。
にもかかわらず、
「2000/11/24、Security Focus より "Lotus Notes Client R5 File Existence Verification Vulnerability" と題する勧告が次の
URL で発せられました
」とはどういうことなのか。
結局、BUGTRAQ に (英語で!) 公開されない限り一切直す気はないと
Lotus は言いたいのか。
こういう会社の製品を secure だと言えるのは Lotus の他にいるのか。
まだまだ NT 4.0 で動いている site は多いですからね。
状況については Windows NT/2000 セキュリティ対応状況 を見てください。 このページは原則として PC 互換機かつ NT Workstation/Server しか追いかけてないので、alpha 用 (T_T) とか NT TSE 用とかはまた別の話になります。
spoof というかゴミの混入というか……。
microsoft.com につながらない (とゆーか、そもそも名前が引けないように見える) のは MyDomain.com の話 と関係がある?
ISA Server 2000 テクニカルガイド が出ています。 Windows 2000 サポートツール オンラインヘルプ 日本語版 も出ています。
マイクロソフト最新セキュリティ情報 の MS00-060 への link が間違ってる (MS99-060 になってる) し。 ご意見をお聞かせください (あ、IIS 4.0 だ) ページってこういう指摘に使うにはちょっと違うし。 なんかこう、feedback を求めているようで実は拒絶しているような気がしてならないんだが……。
そういえば、IDS-JP home page ができています。
Melissa が office:Mac 2001 で復活するという話題が出ているが、 Macintosh トラブルニュース 01/01/20 において秋山さんは Office 2001 のウイルス警報は疑問 とされている。
この問題の要点は、office:Mac を経由するとこれまでの anti-virus data では判別できない Melissa ができあがってしまうので「これを読んだ Windows で」ヤバいことになる、ということでしょう。 Mac な人には直接的被害は何ら発生しないのだけど、 意図せずに Melissa をバラまいてしまうことにもなるので、 やっぱ Mac にも anti-virus 入れて data を更新しましょうとなります。 NAI のページに書いてあるのもそういうことですよね。
Windows 2000 リソースキットツール オンラインヘルプ 日本語版 が出てます。すばらしい。
そうか、機能している業界団体ってあるんだ。 MicrosoftとOracleが手を組むほどに恐れているもの を読んだとき、「やっぱり Jesse Berst のルール「業界コンソシアム=胡散臭い」が勝つんじゃないのぉ?」と思ったのだが、案外それなりに働くかな。 もっとも、世の中に存在する穴の少なくない部分が IT-ISAC とは全く関係ない場所から出現するわけなんだけど。
Linux 用の shared library メンテナンスツール sash に弱点。 /etc/shadow を正しく複製しないため、/etc/shadow が誰でも読める状態になってしまう。 Debian fix。
splitvt 1.6.4 に弱点。 format bug と buffer overflow bug があり、local user が root あるいは gid tty 権限 (suid/sgid の状況に依存) を得られる。 1.6.5 で fix されている。 Debian fix。
3.23.31 より前の MySQL に弱点。 buffer overflow するため、remote から MySQL 実行権限を得られる。 3.23.31 で fix されている。Debian fix。
mICQ 0.4.6 の Do_Msg() にある sprintf() で buffer overflow するという話。 Debian fix。
SecurityFocus.com Newsletter 第 75 号日本語版 (テキスト, 英語版)。 このページで紹介してなかったやつ:
MS Outlook Express 5.00.2314.1300 および Outlook Express 5.50.4133.2400 において、分割送信 (multipart/partial) すると Bcc: がまるみえになってしまうという話。 手元の Windows 2000 SP1 日本語版の Outlook Express 5.50.4133.2400 でも状況を確認できた。 回避方法としては、 分割送信しないようにする。
西川さん情報ありがとうございます。
rnd(4) はないって言われるけど、 src/sys/dev/rnd.c のコメントを参照。
PowerPoint 2000 に弱点。ファイルの読みこみにおいて buffer overflow するため、悪意ある PowerPoint 文書作成者は PowerPoint 2000 を crash させられる他、 user computer 上で任意のコードを実行可能。 Office 2000 SR-1 用 patch には Languages Supported: Japanese とあるので、日本語版 Office 2000 SR-1 にも適用可能だと推測。 この patch は Office 2000 SR-1 SP3 に含まれる。
2001.01.29 追記: patch が更新されている。URL は同じなので、最新 patch を適用されたい。 あと、日本語 advisory 出てる: MS01-002: 「PowerPoint のファイル解析」の脆弱性に対する対策。 上記 link の patch が日本語版にも適用できることが明記されている。
遅くなりましたが、 Referer リクエストヘッダの除去を更新しました。 情報を提供して下さったみなさん、ありがとうございます。
遅いISDNはもう要らない?〜NTTに見直し論浮上、もう何年も前から ISDN なんてイモなものはイラナイとみんな思ってたのに、今ごろ見直し論浮上って……時差ありすぎ。 恥辱ったって、わかってやってたことちゃうの? 確信犯に恥辱もなにもないよね? 裏で政治屋が「魅蚊蚊屋、おぬしもワルよのぉ、オッホッホッホッホッ」 と言ってるとみんな思ってるよね?
で、もうどこでもなんでもいいからさ、俺の家にも 1 Mbps 以上の線を数千円/月でもってきてよ。 いや別にいいんだよ、その値段でできるなら ISDN でも。
みっきーのネットワーク研究所 に Snortsnarfのサンプルが出ています。 そうか、そういうものだったのか。 カッコいいから私もやろっと。
ネットでストリップ生中継 モデルら4人を逮捕 大阪府警、そもそも 6 か月と 2 年の違いというのはどのような発想に基づいているんだろう。
MRJ 2.2.4
出てます。
Mac OS Runtime for Java (MRJ) 2.2.4 is an upgrade to
MRJ 2.2.3 which addresses a security issue affecting
our users. In some cases, this would have permitted
unauthorized applets to access the local hard drive.
ということなので、
[JavaHouse-Brewers:39434] MRJ 2.2.3 (Mac OS Runtime for Java) にセキュリティホール
の件の修正かもしれません。
CERT Incident Note IN-2001-01: Widespread Compromises via "ramen" Toolkit が出てますね。
「ユーザーの怒り」って言ってもなあ。怒るくらいなら Hotmail なんか使わなきゃいいのに。 タダなんだからさ、at your own risk でしょ。
Sparc な機械をいじっている人はぜひご一読を。
inflex というのがあるのですね。 F-Prot anti-virus, Sophos AntiVirus, NAI UVScan と組みあわせて、sendmail でのウィルスチェックができるそうです。 Sophos AntiVirus の FreeBSD/Linux 版は、個人利用については無償だそうです。
Mac文書と共に帰ってきたMelissa、office:Mac 2001 で save するだけで新種になっちゃうのか。
IPAInCS (IPA Integrity Check System) の ダウンロードページ の文字化けは解消されました。宮川さん情報ありがとうございます。
MS TechNet Online - Security、 気がつくと FAQ も翻訳されるようになってますね (ex. MS00-079 FAQ)。 すばらしい!
2000.01.18 の 『Windows Media Player』のスキンにセキュリティーホール に追記した。 そう簡単になんでもアリアリになるわけではないらしい。
スキャン・セキュリティ・シリーズ ダウンロード販売、けっきょく中身がよくわからんので博打を打つ気にはなれないんだよなあ。
MS TechNet Online - Security、 気がつくと登録日と更新日が併記されるようになってますね。 ありがたいことです。
IPAInCS (IPA Integrity Check System) の ダウンロードページ は META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-2022-jp" って書いてあるけど実際には SJIS で返してくれるようで、UNIX 版 Netscape か らは文字化けしますね。 UNIX 版 Netscape で get しようとするのが邪道なんだろうけど、ちょっとしくしく。
IPAInCS の Windows NT/2000 対応を望む人は少なくないと思います。 期待して待つとなんとかしてくださるかしら。
bind 9.1.0 が出たそうです。
ssh ML に Hybris が流れてきてるなあ。 やっぱ流行ってるということなのか。
FreeBSD SA-01:01〜01:06 まで出てます。 announce-jp メーリングリストのアーカイブ あたりを参照してください。 事象としては既報なはず。
Windows Media Player 7 に弱点。スキンファイルが特定のディレクトリ (C:/Program files/Windows Media Player/Skins/) に保存されることを利用すると、攻撃者は HTML 経由で
スキンファイルに見せかけた Java jar アーカイブをユーザに (自動的に) 取得させ、
これを起動させる
ことが可能。local file を読む他、悪意あるプログラムを実行することが可能。 なんでもアリアリであるため、ウィルス屋さんに利用される日もそう遠くないかも。
回避方法としては、Java を不許可にする。 Windows 2000 では、一般ユーザ権限では C:/Program files/Windows Media Player/Skins/ なんてところに書けないからだいじょうぶ……なのかな。 Admin で作業してるとヤバそう。 ……確認しました。Administrator 権限で試すと、見事に成功しました。 いやはや。
オリジナル: Windows Media Player 7 and IE java vulnerability - executing arbitrary programs 。
2001.01.19 追記: ETL 高木さんがこれについて補足されている (情報ありがとうございます): [JavaHouse-Brewers:40200] Re: Fw: Windows Media Player 7 and IE java。 単純に Java jar から「悪意あるプログラムを実行」させられるわけではないという。 実行させるには次の手順が必要な模様だ:
あらかじめ Temporary Internet Files ディレクトリに攻撃プログラムをユーザに (自動的に) 取得させる
スキンファイルに見せかけた Java jar アーカイブをユーザに (自動的に) 取得させる
これを起動させる
jar を使って一時ファイルディレクトリを捜索し、攻撃プログラムの真の位置を探る
探り出した位置を使って、JavaScript や ActiveX といった他の手段が持つ脆弱性を用いてこれを起動する
「今回の問題はJavaの欠陥であるとは思いません
」、Java に罪はなくとも
Java が依存している OS に問題があれば、このように悪用されてしまうわけで。
セキュリティは全体が問われてしまうのでむつかしいです。
PHP 4.0〜4.0.4 の Apache サーバモジュールに弱点。 apache で .htaccess へのアクセスを制限している場合でも、PHP 4 経由でアクセスできてしまう。 また、Apache で複数のバーチャルホストを運用している場合に、そのうち 1 つで engine=off と設定すると、この設定が他のバーチャルホストにも伝染してしまい、 結果として php のソースコードを外部から参照できてしまう。
両者ともに PHP 4.0.4pl1 で fix されている。 簡単に upgrade できない場合は、当面の回避策も記載されているので参照のこと。 PHP 3 にはこの弱点はない。また、CGI モジュールにもこの弱点はない。 Apache サーバモジュールだけの問題。
Ramen の話の技術的詳細は、 http://members.home.net/dtmartin24/ramen_worm.txt とか Incidents ML あたりを読んでいただければよろしいかと。 既存の fix をきちんと適用すれば、ちゃんと防げます。
旨いみそラーメンが食べたいなあ。 今日のお昼はあさり雑炊。
2001.01.19 追記: 関連: 犯人はラーメン好き? Linuxサーバを脅かす新種のワーム
2001.01.22 追記: 関連: CERT Incident Note IN-2001-01: Widespread Compromises via "ramen" Toolkit。
そういえば、最近の Zope にみつかった穴について書いてなかったので。 こんなのがあります:
Zope hotfix: constructor alias security (2000-12-08)
Zope hotfix: local roles computation (2000-12-15a)
Zope hotfix: Image updating method (2000-12-18)
ANNOUNCE: FreeBSD Ports Security Advisory: FreeBSD-SA-01:06.zope では上記 3 点が fix されています。 RedHat だと これ と これ と これ かな。 Debian は DSA-007-1 zope: insufficient protection。 また、最新 stable の zope 2.2.5 には上記 fix が含まれています。
iplog を動かしながら VSZ (k バイト単位の仮想記憶サイズ) と RSS (プロセスの実メモリ(常駐分)の大きさ(1024バイト単位)) を追いかけてみています (%MEM も追えばよかったな……) が、 「ある程度」太るのはしかたないようです。 必ずしも単調増加するわけではなく、減らせるときはちゃんと減らしているようですし。 というわけで、線と config file にあわせてメモリはそれなりに積みましょう。 今は 64MB しかない機械で動かしてるからなー。 来年度までこれでガンバるしかないのだ。
Windows NT 4.0 / Windows 2000 のレジストリ設定集 NT_Security2.reg が出ています。 LMCompatibilityLevel が 2 回定義されていたりするけど、 参考にはなると思います。 くれぐれも、やみくもに適用したりはしないようにしませう。
PitBull はちょうど FWD fw-products ML で話題になってましたね (fw-products:710, fw-products:711)。 Solaris 7 に patch をあてるタイプの Trusted OS なのだそうです。 トライアル版も get できるようですので、挑戦者は入手しておきましょう。
参照: 世界最強のハッカーは誰だ?
有害情報規制法を考えるシンポを来月開催、民放連、02.02 東京都千代田区「グランドアーク半蔵門」。
ハッキング/それは狂気に満ち満ちた新しい世界、だから、何?
メッセージサイズの制限値を超えてメールを送信できてしまう、豪快な仕様だなあ。
#1 [Computing] 偽春菜からWindows のセキュリティを考える、たまたま ac.jp なサイトにいるので、やろうと思えば Windows NT のソースくらいは読めるようにできるのですが[*]、 そうしたところで *BSD みたいに「最新の状況が全て track/browse できる」わけじゃないからなあ。
[*] 研究目的での source 配布、というのがあるんです。 URL どこだっけな……。
頭悪いので冒頭 1/10 くらいしか理解できない私……。
「このようなメールを媒体としたウイルス感染から自分のパソコンを守るためには、どのようにすればいいのでしょうか
」、mail
の読み書きには Windows を使わないのが最も効果的なような。
たとえば、Windows 2000 上の VMWare で Linux して
(Linux 上の VMWare で Windows 2000 してもいいけど)、mail は
Linux 環境で読む。
添付ファイルをじっくり観察できると思うし、.exe や
.vbs はそう簡単には実行できない (笑)。
まあ PC-UNIX を入れると別の心配がでてくるし、複数 OS の管理ってめんどいですけどね。
snort につづく、みっきーさんのドキュメント。 みっきーさんの時計は一日時差があるのかしら (^^;)。
手元でも FreeBSD 4.2-RELEASE で iplog してるのですが、運用してるとだんだんプロセスが太ってきて swap があふれるという状況になってます。こういうものなんでしょうか。 インストールは package をそのままつっこんだだけなんですが。 ……ほんとに太ってるのかな。 もうちょっとまじめにしらべてからどこかで質問することにしよっと。
なんと、例の東京ローカルな法律 (条例)
のために全国配本ができなくなったという驚くべき状況。これだから再販制は……。
なぜ「DOS/V USER」と「遊ぶインタ−ネット」なのか、という話があるが、これはやっぱり
ハッカー本販売を条例規制へ 都協議会が答申
という話への布石なのだろうか。
なにはともあれ、東京都は「どこが不健全であるのか
」を明確にする必要はあるよね。
なにしろカジノはいいが「不健全図書」はダメだという都知事だしなあ。 カジノは健全なんだろうなあきっと。
不便って……。便利さを追及した結果がウィルスあふれな現状だと思うんですけど。 どうして .exe や .lnk をわざわざ添付しなければならないんだろう。 それを不便と考える人ってどんな人? いや、本当にわからないので。
Tea Room for Conference の No.235 と No.228 (の後半) にある NTFS の話は POSIX サブシステムの有無には関係ないという展開になってびっくり。 うぅむ……「NT では win32 でも大文字小文字は区別されるのよ〜ん」という実装にしておけば本当によかった (ポリアンナ) のにのに、ということになってしまうのか。 過去は変えられない、でも未来なら、やっぱり変えられないんだろうなあ。 変えても過去は 6 年くらいは残るしなあ。 今からではあまりにも遅すぎる?
win32 から FILE_FLAG_POSIX_SEMANTICS つけた call したら、その FLAG は無視するー、みたいな patch がほしいところなのかな。 でもそうされると cygwin 方面で困ったりするのかな。 レジストリで動作を設定できるのがいいのかな。
JP267689 - システムファイルの保護機能が Vmm32 ディレクトリに置かれているファイルを保護しないのだそうです。
delegate 7.0.0 出てます。機能自体は 6.1.22 と同様だそうですが、 かなりの範囲にわたってコードの見直しが行われています。 ただし、「sprintf() や scanf() は使わない」という見直しではないようです。 diff -urN delegate6.1.22/ delegate7.0.0/ 読むとおもしろいです。
Dynamic Host Information Services (DHIS)、ベータテスト (無料) 開始だそうです。 正規運用時には ¥1,000/月以下でのサービスになる予定だそうです。
結局は値段がおいくらかが問題で、十分にリーズナブルな値段で提供されれば、不正利用の多くはなくなると思うんだけどなあ。 不正利用の全てがなくなるとは思わないけど、絶対数が減れば叩きやすくなるだろうし。
『これでは、そもそも最初の入り口である認証機関で「なりすまし」が行われた場合には、サービス自体の信頼が揺らぐことになる。現状の法務局や地方自治体が発行する印鑑証明に比べ、「なりすまし」を防ぐ有効な手段については検証されていないのが現実だ
』。
ニセ印鑑証明って現実に発生しているみたいなんですけど。
『信頼の基礎となる認証機関の認証方法は、今後大きな課題となろう
』って、
日本は電子政府に向けてどんどん進んでいるわけで、「課題となろう」なんて言ってる間に現実になっちゃうよ。
『具体的なビジョンを描けていないのが現状のようだ
』、具体的なビジョンが見えてないのは牧野弁護士や毎日新聞も同様な気がするんだけど。
行政まかせでいいの?
そんなことないでしょうに。
シンポジウムでそのへんが見えるのかな。どうもそうは思えんような。
SecurityFocus.com Newsletter 第 74 号日本語版 (テキスト, 英語版)。 このページで紹介してなかったやつ:
Tiny WinRoute Pro Memory Protection Disabling Vulnerability
Tiny WinRoute Pro Authentication Vulnerability
Emacs Inadequate PTY Permissions Vulnerability
これって RUS-CERT Advisory 200004-01: GNU Emacs 20 なんじゃないの? ちがうの?
GTK+ Arbitrary Loadable Module Execution Vulnerability
GTK+ な人は Why GTK_MODULES is not a security hole と言って逃げている。
Microsoft Windows Media Player Javascript URL Vulnerability
おなじみ Georgi Guninski 氏の指摘。 WMP ActiveX Control を使うと、既に開いているフレーム上で JavaScript を実行できる。このとき、フレームの Domain Object Model (DOM) を越えた (ex. local file への) アクセスが可能になるため、既知のパス名のファイルを読み出したり任意のコマンドを実行したりすることが可能となる。
アクティブスクリプトの停止によって回避できる。
Solaris mailx Lockfile Denial Of Service Vulnerability
仕様だと思うんだけど……。
HP-UX kermit Buffer Overflow Vulnerability
これって kermit 一般にあてはまるお話なのかしら。
Word や Excel 用の Password recovery tools、キてます。 WinSCP (GUI scp client for Windows) は便利そう。
SecurityFocus.com Newsletter 第 73 号日本語版 (テキスト, 英語版)。 このページで紹介してなかったやつ:
GnuPG Silent Import of Secret Keys Vulnerability
これが直ってるのって Debian だけ?
Technote Inc Technote 'board' Function File Disclosure Vulnerability
Technote Inc Technote 'filename' Variable File Disclosure Vulnerability
NNCookCt - Navigator cookie cutter というのが紹介されてますね。Referer の話もいいかげん更新しないとなあ。 あーそういえばほげほげ log とかほげほげ検索猿人とかもあったな。
Borland/Inprise の InterBase 4〜6 に backdoor があったという話。 CERT Advisory CA-2001-01 Interbase Server Contains Compiled-in Back Door Account (オリジナル, LAC 邦訳版) も参照。
3rd パーティソフトを使わずに、IIS 4.0 の ftp root へのアクセスを制限する方法。
FreeBSD 4.2-RELEASE での、ipfw および ip filter の NAT あり/なしでの設定例。 とても参考になります。 ipfw だと dummynet ([FreeBSD-users-jp 40216] からつづくスレッドも参照) を使った帯域制限が使えるのがうれしいかなあと思ったり。
Windows NT/2000 で動作する buffer overflow protection tool "SecureStack" 登場のおしらせ。 http://www.securewave.com/html/secure_stack.html に詳細がある。
NT だと 5〜10% 程度遅くなるだけだけど、2000 ではだいぶ遅くなっちゃうみたい。
現在この問題を fix した新版を開発中だそうです。
free 版を配布中ですが、
Free Version: Detection only,
Pro Version: Detection and Protection
だそうです。
Pro 版の値段はおいくらなんでしょうね。mail してくれとしか書いてない。
あと、
Self-modifying code (Trampolines)
Software that uses self-modified code, and/or software that use special types of trampolines generated on the fly while running is not compatible with SecureStack. We have found that there are a few GUI applications that use trampolines generated on the fly which to SecureStack can look just like a buffer overflow. SecureStack was designed to protect server side applications and none of the applications we tested used trampolines.
だそうなので、使うにはいろいろ検証が必要かもしれません。
SunOS 5.4〜5.7 (Solaris 2.4〜7) の arp コマンドに弱点。 -f オプションが buffer overflow するため、local user が gid bin 権限を得られる。 これを経由して root 権限を取得可能。 Solaris Arp Vulnerability も参照。
patch が出ているので適用すれば ok。
『「問題のアップデート」と「スキルの再チェック」が不可欠
』、おっしゃる通り。この国には「昔のスキルで老害タレ流し」が多すぎる。
Power Mac G4 Cube: 電源スイッチの不具合について、煙が出ても「お客様の安全上の問題に繋がる恐れはありません
」だそうで。
バルサンじゃあるまいし……。
煙センサが気づいてシャワー浴びせても ok ok
無料で修理しますということだろうか。
「情報セキュリティ評価認証体制の創設に向けた評価機関認定説明会」のお知らせ、説明会の申込〆切は 2001.01.30 だそうです。
MS00-083「Netmon のプロトコル解析」の脆弱性に対する対策 の W2K, SMS 1.2/2.0 patch 出てます。
違法ファイル交換の新追跡システムは有効か (上)、必要は発明の母なので、抜け道はいくらでも発明されるんでしょうね。
ブックレビュー:暗号30年の歴史を語る新刊 『暗号』、おもしろそうですね。
みなさん読んでらっしゃると思いますが、 Tea Room for Conference の No.235 と No.228 (の後半) にある NTFS の話はたいへん興味深いです。
新着サポート技術情報に PRB: 端末クライアントを介した Windows 2000 セットアップの失敗 が載ってるけど、アクセスすると「そんなページはねぇ」と言われてしまう。 英語版はある: Q246694 - PRB: Setup on Windows 2000 Fails Through Terminal Client。 Terminal はダメダメ NetMeeting でやれ、だそうです……。
tmpnam() とか mktemp() とかを無造作につかってるとこがあるぜという話。 使ってる人:
apache 1.3.14 and also 2.0a9, the htpasswd and htdigest helper programs tcpdump arpwatch version 2.1a4 squid 2.3 STABLE and 2.4 linuxconf 1.19r through 1.23r, the vpop3d program mgetty 1.1.22 and 1.1.23 gpm 1.19.3 wu-ftpd 2.6.1, the privatepw program inn 2.2.3 diffutils 2.7, the sdiff program getty_ps 2.0.7j rdist 6.1.5 shadow-utils 19990827 and 20000902, the useradd program
Immunix 7.0 Apache /tmp File Race Vulnerability
htdigest.c と htpasswd.c の tmpnam()。
squid /tmp File Race Condition Vulnerability
src/tools.c tmpnam()。
2001.01.15 追記: Squid-2.4.STABLE1 で fix される。
linuxconf /tmp File Race Condition Vulnerability
vpop3d ですって。
mgetty /tmp File Race Condition Vulnerability
1.1.24 で fix されている。
gpm /tmp File Race Condition Vulnerability
gpn.c mktemp()。
wu-ftpd /tmp File Race Condition Vulnerability
util/privatepw/privatepw.c tmpnam()。
inn /tmp File Race Condition Vulnerability
mktemp()。
sdiff (GNU diffutils) /tmp File Race Condition Vulnerability
sdiff.c tmpnam()。
getty_ps /tmp File Race Condition Vulnerability
uufuncs.c mktemp()。
rdist /tmp File Race Condition Vulnerability
src/message.c mktemp()。
shadow-utils /etc/default Temp File Race Condition Vulnerability
src/useradd.c mktemp()。
2.1.9x 以上の glibc に弱点。 RESOLV_HOST_CONF などの環境変数が suid/sgid コマンドに渡ってしまうため、たとえば $ export RESOLV_HOST_CONF=/etc/shadow; ssh whatever.host.com (ここで whatever.host.com は実際に存在するホスト) とすると /etc/shadow が読めてしまう。 glibc 2.1.3 といった、旧来のものを利用している OS ではこの問題はない。 著名なリリース版 OS では RedHat 7.0 にこの弱点があてはまる。
Advisory: RedHat (7.0), Slackware (current)。
現実問題として、Windows 2000 を NAT router 的に利用して接続している人ってどのくらいいるんだろう。
Office 2000, Windows 2000, Windows Me に同梱されている Web Extender Client (WEC) に弱点。 WEC はデフォルトで NTLM 認証を利用するのだが、 NTLM challenge が来ると、IE のセキュリティ設定がどのようなものになっている場合でも、どのようなゾーンに分類されるサーバに対しても、NTLM response を返してしまう (IE のユーザ認証設定がどのようになっていたしても「現在のユーザ名とパスワードで自動的にログオンする」として動作する、ということかな)。 状況としては MS00-067「Windows 2000 Telnet クライアントの NTLM 認証」の脆弱性に対する対策と同様のようだ。 最もありがちな危険性は辞書攻撃や総当たり攻撃によるパスワード解析だろう。 問題が発生するのは、上記ソフト (Office 2000, Windows 2000, Windows Me) がインストールされているか、または IE 5.0 以上がインストールされていて、かつ Web フォルダが有効になっている場合。
英語版 patch が出ている。
Office 2000 SR-1 用 patch の
Office 2000 SR-1 Update: Web Client Security
は
Languages Supported: Japanese
という記述を見る限りでは日本語版 Office 2000 SR-1 にも利用できるようだ。
Office 2000 アップデート: Service Pack 2 (SP-2)
が出たのは日本ではつい最近だけど、
US Office 2000 SP-2
は 14-Nov-2000 なので、順序的には SP-2 を適用してから
MS01-001 を適用するのだろう。
SP-2 fix 一覧
(日本語版,
英語版) には含まれていないようだし。
でも Office 2000 SR-1 Update: Web Client Security
には SR-1 が対象としか書いてないんだよね。
Service Pack と Service Release はどう違うんだろう。
Microsoft Product Security Notification Service に再び概要が入るようになりましたね。
西川さん情報ありがとうございます。
いまごろになって [email protected] に subscribe しました うきー、こんなに活発な ML だったのか……。 ちなみに、件の base64 は metamail 付属の mmdecode を使えば decode できました。
もしかして、セキュリティホール memo の内容に関して議論する Mailing List とかあるとうれしかったりするでしょうか? 掲示板のほうがいいのかな。
【記者の眼】アクセス・ランキングに,「日本のIT Pro」の意識を見る、 ここのアンケートって、回答項目が「参考になった」「参考にならなかった」だけだし、そもそもこういうのに回答する人は「参考になった」から回答する場合の方が多いと思う。 あと、「そもそも回答しなかった人」も集計可能だと思うのだけど。
せめて選択肢を「たいへん参考になった」「多少は参考になった」「あまり参考にならなかった」「全く参考にならなかった」程度に増やし、 回答総数も掲載してくれると、多少は参考になると思うのですが。 加えて、公開可能とされたコメントは公開してほしいですね。
Lotus Domino R5.0〜R5.0.6 に弱点。 http://TARGETDOMINO/.nsf/../winnt/win.ini のようにすると、web root を越えたアクセスが可能となってしまう。 元記事: Georgi Guninski security advisory #32, 2001: Lotus Domino 5.0.5 Web Server vulnerability - reading files outside the web root。 BUGTRAQ bugid: 2173。 /.nsf/../ だけでなく /.box/../ や /.ns4/../ もまずいそうです。 また、dummy directory を使って http://TARGETDOMINO/.nsf/AAA/../../FILE のようにもできるので、純粋に /.nsf/../ を禁止すればいいわけでもありません。
R5.0.6a で fix されるそうです。 '..' を含む URL をどこかに redirect するようにすれば回避可能。 方法は上記の Lotus link に記載されている (つながらなかったら http://www.lotus.com/security からたどってみてね)。 また、R4.x にはこの問題はないそうです。
2001.01.12 追記: 日本語版出てました: ドミノサーバーが稼働しているサーバーのファイルシステムへアクセスが可能になるセキュリティの脆弱性について。
Word 98 for MacOS に存在した問題が、継続して Word 2001 for MacOS にもあるという話。Excel 98 / Excel 5 の問題については「回避」はされるようになったようです (これを fix とは言わないよねえ)。
MS Office 文書には拡張子は関係ないという話もありましたね。 くわばら、くわばら。
「ゲートウエイ型のウイルス対策製品がもはや必須
」なのか……。
これがまた高いんだよなあ。
client side とは違う会社のやつにしたほうがいいだろうけど、これがまた
cost up につながるし。
でも anti-virus ものは、他のセキュリティ製品にくらべると予算要求しやすいのかな。
ウィルス関連というと、 Norton AntiVirus (NAV) 5.0 では Office 文書に添付されたウィルスを検知できない という話も出てますね。 NAV 2001 や NAV Corporate Edition 7.5 だと ok だけど NAV CE 7.3 だとちょっとアレという話もあるそうです。 DAT だけ最新なら ok というわけでもなく、適切な program upgrade もやっぱりそれなりに必要なようです。 「ライセンス期間内なら常に最新バージョンを利用できる」ようなライセンスを持っていたとしても、インストールとか OS/アプリ適合性の検証とかがたいへんなので upgrade してないという人はたくさんいそうですが、そうも言ってられなさそうです。 ヤな世の中だなあ。
ところで、日本で売ってる NAV CE ってまだ 7.0 までですよね?
Linux,映画デビュー、はぁ (脱力)。 なんかもう、このテの話には疲れしか感じないなあ。 紅白ネタ合戦でも見て息を抜こう (from 24 時間常時接続 ML, :-):-):-))。
Linux 2.0.39 が出ています。
さきほど TidBITS-J#561/01-Jan-01 の日本語版が流れてきました (翻訳グループのみなさんいつもありがとうございます _o_) が、 Symantec Releases Two Norton Bundles として Norton Internet Security の記事が出てますね。 TidBITS 日本語版ページ にはまだ TidBITS-J#561/01-Jan-01 日本語版は掲載されていないようです。
「各省庁は、平成15年度までに電子政府の基盤を構築することを踏まえ
」というわりには、「情報セキュリティ対策推進会議」や「情報セキュリティ部会第」の会合の少なさが気になったり。時間も少ないし。半年ぶりに 30 分会って何したんだろう。
案見せてシャンシャンですか?
まあ、このあたりを見ても、電子政府の基盤をまじめに構築しようとしているとはとてもじゃないが思えないけどね。
あと、サイバーもやんなきゃいかんとおもうけど、個人的には物理攻撃のほうが心配だったり。 「原発にゲリラ攻撃かけられて放射能 go go」とかいうシナリオの方が恐いぞ。 どこぞから核のゴミを盗んで東京都の水ガメにタラタラ、とかさ。
安全宣言……。 Macromedia の Peter Santangeli 氏も does not constitute a significant security risk. The effects of this defect are limited to the crashing of the users client (denial of service) と、まるで DoS には何の問題もないかのような書き方をされていて、 私はそのことに驚きを感じる。 彼らの site に DDoS かけても、 "It does not constitute a significant security risk. The effects of this defect are limited to the crashing of the servers" と言えば許してもらえるんだろうか。 BUGTRAQ bugid 2162 も参照。
Pマーク審査料金を大幅値上げ、JIPDECが2月実施、金の出口は天下り役人?
MS00-077「NetMeeting リモート デスクトップ共有」の脆弱性に対する対策 の patch とか、 MS00-084「インデックス サービスのクロスサイト スクリプティング」の脆弱性に対する対策 の patch とか出てますね。
IPA からも RFC3013 (BCP 46): Recommended Internet Service Provider Security Services and Procedures 邦訳版 推奨される ISP セキュリティサービスと手続き が出ています。 慶應義塾大学 白畑さん訳版と読みくらべるのもよいかもしれません。
あけましておめでとうございます。 今年もよろしくおねがいいたします。
ウイルスの法的定義ってどうなるんだろう。 配布の禁止はまだわかるけど、製造禁止って……。 なんか neko 騒動 (当時の log ってどこかにあったりしますか?) を想起してしまうんですけど……。
IIS 5.0 に弱点。 CGI スクリプトに対して http://TARGETIIS/scripts/test.pl%3F+.htr のようにアクセスすると test.pl の結果ではなく test.pl そのものが返ってきてしまうという。 NT Security-B-) によると、日本語版 Windows 2000 Server SP1 + MS00-086 patch では %3F+.htr ではなく +.htr (%3F なし) のときに現象が発生するという。 Guninski 氏によると +.htr (%3F なし) は「patch を適用しないとき」に発生するとなっているのだが、日本語版では状況が異なるということなのか。 また BUGTRAQ では IIS 4 での状況がフォローされている。
.htr へのアプリケーションマッピングを削除すれば回避できる。
これ、強烈ですね。
いいなあこれ。受講したい。 日本でやってるとこってあるのかな。
UNICODE って encoding 方法がやたらたくさんあるので detect するの大変だし、 NetworkICE だと自前で UNICODE decode するようだけど、その decode 方法が target machine (ex. Windows NT/2000) と違ってるとまずいし、というような話みたい。 頭痛いなあ……。
わくわく。
「オフィシャルサイトが近日公開予定
」だそうです。
やっぱり Windows >> Linux >> others なんですね。 この port の開きかたって「IIS についてくるやつ全部入れてました」ってコトなのかなあ。
というわけで、やっとこさ MS00-086 新々 (相当) patch 日本語版が出た、という話。1 か月もかかっては困りますよね。 やっぱり日本語版 OS は使えないってことになってしまいます。
それはいいんだけど、「正式にはアナウンスされていないものの
」とか書くの、もういいかげんやめませんか?
MS Security Advisor 日本語 page に案内がなければ正式じゃないなんて、誰が言ってるんですか?
MS の公式 site に掲載されているものが正式じゃないというのですか?
正式だろうが正式じゃなかろうが、hotfix だの SP だのなんてものは
「各自の責任で適用
」することには変わらないわけですし。
いろいろなソフトの新バージョンが出ているようです。
軽量 IDS snort の 1.7 が出ています。from ChangeLog:
* tcp stream reassembly preprocessor (beta) by Chris Cramer * Defragmentation plugin is now fully functional on all architectures * SPADE (Statistical anomaly detection) preprocessor has been added by James Hoagland * Added IIS/UNICODE attack detection to HTTP decoder * Reference plugin has been added by Joe McAlerney * New active response module: sp_react * Added "any" keyword to IP options (ipopts) plugin * IP fragmentation bits detection plugin added * Added TOS detection plugin from Erich Meier* Database output plugin improved in many ways by Jed Pickel * Oracle support added to database output plugin * XML output plugin by Jed Pickel/Roman Danyliw/CERT * IP address list support added with lots of help from Phil Wood * _ADDRESS variable implementation, specifying an interface name in the rules file as part of this variable automatically sets the IP/mask as the IP address/netmask of the specified interface * Rule parser is more anal about rule verification now, doesn't crash as readily * Arbitrary output types support added by Andrew Baker * Activate/dynamic rules allow rules to turn on/off other rules! * ICMP unreach. printout dumps encapsulated headers now * Improved TCP/IP options printout code, doesn't flood on 0 length options * Packet checksumming implemented for all supported protocols by Chris Cramer * TCP flags now print out in proper (bitwise) order * Added new fields to the packet header dumps including IP header length, TCP/UDP header length, Urgent pointer printout, IP Reserved bit printout, ICMP Type/Code explicit value printout * -X switch dumps packet byte data for data link through application layer * -L switch to privde a filename for binary log files specified with the -b switch * Added -I switch to print interface name in Snort alerts (first i/f only) * Fixed -S command line switch so it isn't overridden by variables in the rules file * Corrected PID file misadventures * Added a bunch of new statistics to the packet stats printout * Added SIGUSR1 handler, Snort will dump packet stats to console/syslog when it receives a SIGUSR1 * Memory management cleaned up/lots more free()'s to match up with malloc()'s * Added snprintf code to the distro for safety * UID = 0 code added for sniffer mode * fixed default alert filename for daemon mode * Updated USAGE file to resemble Snort's current reality * Changed snort-lib to snort.conf, Jed Pickel added lots of documentation to the file as well (thanks Jed!)
わくわくしてきました?
国産 IDS pakemon の 0.3.1 が出ています。
djbdns の 1.03 が出ています。
STRATEGIC CHOICE, INCORPORATED とゆーところが ウィンドウズ用ネームサーバ BIND8.2.2P7 for Win32 とゆーのを出した……という記事が流れているようですが、これは誤報 (というか詐欺) だそうです。
8.2.2P7 を Windows 環境で作成しても 8.2.2P5 相当にしかならないそうで、 8.2.2P7 で fix された問題を解決したい場合は bind 8.2.3T9B for Win32 を入れるのが吉のようです。